输入：测评指导书，测评配置等级测评测评的网络、主机、应用测评结果记录表格。

任务描述：

a) 根据等级测评结果记录表格内容，利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等）。

b) 如果系统在输入无效命令时不能完成其功能，将要对其进行错误测试。

c) 针对网络连接，应对连接规则进行验证。

（二）下面列出对不同等级信息系统在测评实施时的不同强度要求。

一级：满足GB/T 22239-2008中的一级要求。

二级：满足GB/T 22239-2008中的二级要求，等级测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性。

三级：满足GB/T 22239-2008中的三级要求，测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，测试系统是否达到可用性和可靠性的要求。

四级：满足GB/T 22239-2008中的四级要求，测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，测试系统是否达到可用性和可靠性的要求。

输出/产品：技术安全测评的网络、主机、应用测评结果记录。

您可前往信创致远http://www.dengbao110.com/查看更多信息安全等级保护、等级测评相关内容。

（三）工具测试

输入：测评指导书，技术安全等级测评的网络、主机、应用测评结果记录表格。

任务描述：

a) 根据测评指导书，利用技术工具对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。

b) 备份测试结果。

（四）下面列出对不同等级信息系统在等级测评实施时的不同强度要求。

一级：满足GB/T 22239-2008中的一级要求。

二级：满足GB/T 22239-2008中的二级要求，针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。

三级：满足GB/T 22239-2008中的三级要求，针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描，针对应用系统完整性和保密性要求进行协议分析，渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。

四级：满足GB/T 22239-2008中的四级要求，针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描，针对应用系统完整性和保密性要求进行协议分析，渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。

输出/产品：技术安全测评的网络、主机、应用测评结果记录，工具测试完成后的电子输出记录，备份的测试结果文件。